Cela commence généralement par des publicités malveillantes et se termine par le déploiement du rançongiciel Royal, mais un nouveau groupe de menaces s'est distingué par sa capacité à innover dans les étapes intermédiaires malveillantes pour attirer de nouvelles cibles.
Le groupe de cyberattaques, suivi par Microsoft Security Threat Intelligence sous le nom de DEV-0569, se distingue par sa capacité à améliorer continuellement ses charges utiles de découverte, d'évasion de détection et de post-compromis, selon un rapport publié cette semaine par le géant de l'informatique.
« DEV-0569 s'appuie notamment sur malvertising, des liens de phishing qui pointent vers un téléchargeur de logiciels malveillants se faisant passer pour des installateurs de logiciels ou des mises à jour intégrées dans des spams, de fausses pages de forum et des commentaires de blog », ont déclaré les chercheurs de Microsoft.
En quelques mois seulement, l'équipe Microsoft a observé les innovations du groupe, notamment le masquage de liens malveillants sur les formulaires de contact des organisations ; enterrer de faux installateurs sur des sites de téléchargement et des référentiels légitimes ; et en utilisant des publicités Google dans ses campagnes pour camoufler ses activités malveillantes.
"L'activité DEV-0569 utilise des binaires signés et fournit des charges utiles de logiciels malveillants cryptés", a ajouté l'équipe Microsoft. "Le groupe, également connu pour s'appuyer fortement sur les techniques d'évasion de la défense, a continué à utiliser l'outil open source Nsudo pour tenter de désactiver les solutions antivirus lors de campagnes récentes."
Les positions de succès du groupe DEV-0569 pour servir de courtier d'accès pour d'autres opérations de ransomware, a déclaré Microsoft Security.
Comment combattre l'ingéniosité des cyberattaques
Mis à part les nouvelles astuces, Mike Parkin, ingénieur technique senior chez Vulcan Cyber, souligne que le groupe de menaces fait en effet des ajustements en marge de leurs tactiques de campagne, mais compte systématiquement sur les utilisateurs pour faire des erreurs. Ainsi, pour la défense, l'éducation des utilisateurs est la clé, dit-il.
"Les attaques de phishing et de malvertising signalées ici reposent entièrement sur l'interaction des utilisateurs avec le leurre", a déclaré Parkin à Dark Reading. "Ce qui signifie que si l'utilisateur n'interagit pas, il n'y a pas de violation."
Il ajoute : "Les équipes de sécurité doivent garder une longueur d'avance sur les derniers exploits et logiciels malveillants déployés dans la nature, mais il reste un élément d'éducation et de sensibilisation des utilisateurs qui est nécessaire, et sera toujours nécessaire, pour détourner la communauté des utilisateurs du principal surface d’attaque en une solide ligne de défense.
Rendre les utilisateurs imperméables aux leurres semble certainement être une stratégie solide, mais Chris Clements, vice-président de l'architecture des solutions chez Cerberus Sentinel, déclare à Dark Reading qu'il est "à la fois irréaliste et injuste" d'attendre des utilisateurs qu'ils maintiennent une vigilance à 100 % face à des réseaux sociaux de plus en plus convaincants. stratagèmes d'ingénierie. Au lieu de cela, une approche plus holistique de la sécurité est nécessaire, explique-t-il.
"Il incombe ensuite aux équipes techniques et de cybersécurité d'une organisation de s'assurer qu'une compromission d'un seul utilisateur n'entraîne pas de dommages organisationnels généralisés à cause des objectifs cybercriminels les plus courants que sont le vol de masse de données et les ransomwares", déclare Clements.
Les contrôles IAM sont importants
Robert Hughes, CISO chez RSA, recommande de commencer par les contrôles de gestion des identités et des accès (IAM).
"Une gouvernance solide des identités et des accès peut aider à contrôler la propagation latérale des logiciels malveillants et à limiter leur impact, même après une défaillance au niveau de la prévention des logiciels malveillants humains et terminaux, comme empêcher une personne autorisée de cliquer sur un lien et d'installer un logiciel qu'elle est autorisée à installer », explique Hughes à Dark Reading. "Une fois que vous vous êtes assuré que vos données et vos identités sont en sécurité, les retombées d'une attaque de ransomware ne seront pas aussi dommageables - et il ne sera pas aussi difficile de recréer une image d'un terminal."
Phil Neray de CardinalOps est d'accord. Il explique qu'il est difficile de se défendre contre des tactiques telles que Google Ads malveillants, de sorte que les équipes de sécurité doivent également se concentrer sur la minimisation des retombées une fois qu'une attaque de ransomware se produit.
"Cela signifie s'assurer que le SoC dispose de détections en place pour les comportements suspects ou non autorisés, tels que l'élévation des privilèges et l'utilisation de outils d'administration vivant hors de la terre comme PowerShell et les utilitaires de gestion à distance », explique Neray.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
